Chapitre 3. Les ressources du rôle de ROSA IAM
Il faut créer plusieurs ressources de rôles sur votre compte AWS afin de créer et de gérer un cluster Red Hat OpenShift Service sur AWS (ROSA).
3.1. Aperçu des rôles requis Copier lienLien copié sur presse-papiers!
Afin de créer et de gérer votre service Red Hat OpenShift sur le cluster AWS, vous devez créer plusieurs rôles à l’échelle du compte et à l’échelle du cluster. Lorsque vous avez l’intention d’utiliser OpenShift Cluster Manager pour créer ou gérer votre cluster, vous avez besoin de rôles supplémentaires.
- Créer et gérer des clusters
Il faut plusieurs rôles à l’échelle du compte pour créer et gérer des clusters ROSA. Ces rôles ne doivent être créés qu’une fois par compte AWS et n’ont pas besoin d’être créés frais pour chaque cluster. Il est possible de spécifier votre propre préfixe ou d’utiliser le préfixe par défaut (ManagedOpenShift).
Les rôles suivants à l’échelle du compte sont requis:
-
<prefix>-Role du travailleur
-
<préfixe>-Soutien-Role
-
<prefix>-Installer-Role
-
<prefix>-ControlPlane-Role
NoteLa création de rôles ne demande pas votre accès AWS ou vos clés secrètes. AWS Security Token Service (STS) est utilisé comme base de ce flux de travail. AWS STS utilise des informations d’identification temporaires et à privilèges limités pour fournir l’authentification.
-
- Gérer les fonctionnalités de cluster fournies par les opérateurs
Les rôles d’opérateur spécifiques au cluster (rôles d’opérateur dans l’ILC ROSA), obtenir les autorisations temporaires requises pour effectuer des opérations de cluster pour les fonctionnalités fournies par les opérateurs, telles que la gestion du stockage back-end, l’entrée et le registre. Cela nécessite la configuration d’un fournisseur OpenID Connect (OIDC), qui se connecte à AWS Security Token Service (STS) pour authentifier l’accès de l’opérateur aux ressources AWS.
Les rôles d’opérateur sont requis pour chaque cluster, car plusieurs opérateurs sont utilisés pour fournir des fonctionnalités de cluster par défaut.
Les rôles d’opérateur suivants sont requis:
-
<cluster_name>-<hash>-openshift-cluster-csi-drivers-ebs-cloud-credentials
-
<cluster_name>-<hash>-openshift-cloud-network-config-controller-credentials
-
<cluster_name>-<hash>-openshift-machine-api-aws-cloud-credentials
-
<cluster_name>-<hash>-openshift-cloud-credential-operator-cloud-credentials
-
<cluster_name>-<hash>-openshift-image-registry-installer-cloud-credentials
-
<cluster_name>-<hash>-openshift-ingress-operator-cloud-credentials
-
- À utiliser OpenShift Cluster Manager
L’interface utilisateur Web, OpenShift Cluster Manager, vous oblige à créer des rôles supplémentaires dans votre compte AWS pour créer une relation de confiance entre ce compte AWS et le gestionnaire de cluster OpenShift.
Cette relation de confiance est obtenue grâce à la création et à l’association du rôle d’Ocm-role AWS IAM. Ce rôle a une politique de confiance avec l’installateur AWS qui relie votre compte Red Hat à votre compte AWS. En outre, vous avez également besoin d’un rôle AWS IAM d’utilisateur pour chaque utilisateur d’interface utilisateur Web, qui sert à identifier ces utilisateurs. Ce rôle AWS IAM de rôle utilisateur n’a pas d’autorisations.
Les rôles AWS IAM suivants sont nécessaires pour utiliser OpenShift Cluster Manager:
-
le rôle de l’OCM
-
le rôle de l’utilisateur
-